Уязвимость TikTok позволяет взламывать чужие аккаунты

Специалисты по безопасности обнаружили опасную уязвимость в одном из самых скачиваемых из App Store и Google Play приложений. Речь о мобильном клиенте сервиса TikTok и баге, благодаря которому хакеры могут загружать видеоролики от имени другого пользователя без его ведома.

Исследователи обнаружили в коде популярного приложения «дыру», позволяющую публиковать видеоролики от имени других пользователей, перехватывая данные их аккаунтов. Как оказалось, для размещения контента TikTok задействует веб-протокол HTTP, от которого разработчики отказались практически во всём сегменте интернета в пользу более надёжного HTTPS.

В связи с тем, что HTTP практически не защищён от атак, при запуске TikTok в местах с публичными Wi-Fi сетями злоумышленники могут перехватить историю посещений и личные данные владельца учётной записи. Для этого применяется атака типа MitM — «человек посередине» посредством отправки поддельного пакета и дальнейшего перенаправления всего трафика приложения через собственный сервер. Стоит отметить, что за распространение ряда материалов, включая дезинформацию о коронавирусной инфекции, аккаунт может быть заблокирован.

Для демонстрации уязвимости эксперты уже провели несколько показательных взломов, разместив связанные с коронавирусом видеоролики от имени Всемирной организации здравоохранения и Красного Креста. Они отметили, что на сегодня TikTok остаётся единственным приложением, использующим HTTP для отправки данных.

Добавить комментарий